linux安全配置規(guī)范

1、Linux安全配置規(guī)范2011年 3 月第一章 概述1.1適用范圍適用于中國電信使用 LinUX操作系統(tǒng)的設(shè)備。本規(guī)范明確了安全配置 的基本要求，適用于所有的安全等級，可作為編制設(shè)備入網(wǎng)測試、安全驗 收、安全檢查規(guī)范等文檔的參考。由于版本不同，配置操作有所不同，本規(guī)范以內(nèi)核版本及以上為例， 給出參考配置操作。第二章安全配置要求賬號編號：1要求內(nèi)容應(yīng)按照不同的用戶分配不同的賬號。避免不同用戶間 共享賬號。避免用戶賬號和設(shè)備間通信使用的賬號共 享。操作指南1、參考配置操作為用戶創(chuàng)建賬號：#USeradd USername # 倉U建賬號#PaSSWd USername # 設(shè)置密碼修改權(quán)限：#Ch

2、mod 750 directory # 其中750為設(shè)置的權(quán)限，可根據(jù)實(shí)際情況設(shè)置相應(yīng)的權(quán)限，directory是要更改權(quán)限的目錄）使用該命令為不冋的用戶分配不冋的賬號，設(shè)置不冋 的口令及權(quán)限信息等。2、補(bǔ)充操作說明檢測方法1、判定條件能夠登錄成功并且可以進(jìn)行常用操作；2、檢測操作使用不同的賬號進(jìn)行登錄并進(jìn)行 些常用操作；3、補(bǔ)充說明編號：2要求內(nèi)容應(yīng)刪除或鎖疋與設(shè)備運(yùn)仃、維護(hù)等工作無關(guān)的賬號。操作指南1、參考配置操作刪除用戶：#USerdel USer name;鎖定用戶：1）修改/etc/ShadOW 文件，用戶名后加*LK*2）將尼t(yī)c/passwd 文件中的 shell 域 設(shè)置成bi

3、 n/false3）#PaSSWd -l USer name只有具備超級用戶權(quán)限的使用者方可使用，#PaSSWd-l USername 鎖定用戶,用 #PaSSWd - d USername 解鎖后原有密碼失效，登錄需輸入新密碼，修改/etc/ShadOW能保留原有密碼。2、補(bǔ)充操作說明需要鎖定的用戶：IiSte n, gdm,webservd ,n Obody ,n Obody4、no access。注：無關(guān)的賬號主要指測試帳戶、共享帳號、長期不用賬號（半年以上未用）等檢測方法1、判定條件被刪除或鎖定的賬號無法登錄成功；2、檢測操作使用刪除或鎖定的與工作無關(guān)的賬號登錄系統(tǒng)；3、補(bǔ)充說明需要鎖

4、定的用戶：Iiste n, gdm,webservd ,n obody ,n obody4、no access。編號：3要求內(nèi)容根據(jù)系統(tǒng)要求及用戶的業(yè)務(wù)需求，建立多帳戶組，將 用戶賬號分配到相應(yīng)的帳戶組。操作指南1、參考配置操作Cat etcpasswdCat /etc/group2、補(bǔ)充操作說明檢測方法1、判定條件人工分析判斷2、檢測操作編號：4要求內(nèi)容使用PAM禁止任何人SU為root操作指南參考操作：編輯SU文件(Vi etcsu),在幵頭添加下面兩行：auth SUffiCie ntlibSeCUrityauth requiredlibSeCUrity group=wheel這表明只有

5、 wheel 組的成員可以使用SU命令成為root用戶。你可以把用戶添 加到wheel組，以使它可以使用SU命令成為root用戶。 添加方法為：# chmod - G10 USername檢測方法1、判定條件2、檢測操作Cat etcsu口令編號：1要求內(nèi)容對于米用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，口令長度至少8位，并包括數(shù)字、小與字母、大與字母和特殊符號4類中至少3類。操作指南1、參考配置操作Vi /etc/,修改設(shè)置如下PASS_MIN_LEN=8設(shè)定最小用戶密碼長度為 8位LinUX 用戶密碼的復(fù)雜度可以通過 Pam_CraCkIib module 或 Pam_PaSSWdqC module 進(jìn)行

6、設(shè)置檢測方法1、判定條件不符合密碼強(qiáng)度的時候，系統(tǒng)對口令強(qiáng)度要求進(jìn)行提示；符合密碼強(qiáng)度的時候，可以成功設(shè)置；2、檢測操作1、檢查口令強(qiáng)度配置選項是否可以進(jìn)行如下配置：i. 配置口令的最小長度；ii. 將口令配置為強(qiáng)口令。2、創(chuàng)建一個普通賬號，為用戶配置與用戶名相同的口令、只包含字符或數(shù)字的簡單口令以及長度短于8的口令，查看系統(tǒng)是否對口令強(qiáng)度要求進(jìn)行提示；輸入 帶有特殊符號的復(fù)雜口令、普通復(fù)雜口令，查看系統(tǒng) 是否可以成功設(shè)置。3、補(bǔ)充說明Pam_CraCkIib 主要參數(shù)說明:tretry=N:重試多少次后返回密碼修改錯誤 difok=N:新密碼必需與舊密碼不同的位數(shù)dcredit=N: N &

7、gt;= 0:密碼中最多有多少個數(shù)字 ；N V O密碼中最少有多少個數(shù)字Icredit=N:小寶字母的個數(shù)UCredit=N 大寶字母的個數(shù)Credit=N: 特殊字母的個數(shù)minClaSS=N:密碼組成（大/小字母，數(shù)字,特殊字符）Pam_PaSSWdqC主要參數(shù)說明:mix:設(shè)置口令字最小長度，默認(rèn)值是mix=disabled 。max:設(shè)置口令字的最大長度，默認(rèn)值是max=4PaSSPhrase:設(shè)置口令短語中單詞的最少個數(shù)，默認(rèn)值是PaSSPhraSe=3 ,如果為0則禁用口令短語。atch:設(shè)置密碼串的常見程序，默認(rèn)值是match=4。similar:設(shè)置當(dāng)我們重設(shè)口令時，重新設(shè)置的

8、新口令能否與舊口令相似，它可以是SimiIar=Permit 允許 相似或SimiIar=deny 不允許相似。ran dom:設(shè)置隨機(jī)生成口令字的默認(rèn)長度。默認(rèn)值是random=42。設(shè)為0則禁止該功能。enforce:設(shè)置約束范圍，enforce=none 表示只警告弱口令字，但不禁止它們使用；en force=users 將對系統(tǒng)上的全體非根用戶實(shí)行這一限制； en force=everyo ne將對包括根用戶在內(nèi)的全體用戶實(shí)行這一限制。non-un ix:它告訴這個模塊不要使用傳統(tǒng)的getpw nam函數(shù)調(diào)用獲得用戶信息。retry:設(shè)置用戶輸入口令字時允許重試的次數(shù)，默認(rèn)值是retr

9、y=3 。密碼復(fù)雜度通過etcsystem-auth 實(shí)施編號：2要求內(nèi)容對于爪用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，帳戶口令的生存 期不長于90天。操作指南1、參考配置操作Vi /etc/PASS_MAX_DA YS=90設(shè)定口令的生存期不長于90天檢測方法1、判定條件登錄不成功；2、檢測操作使用超過90天的帳戶口令登錄；3、補(bǔ)充說明測試時可以將90天的設(shè)置縮短來做測試；文件及目錄權(quán)限編號：1要求內(nèi)容在設(shè)備權(quán)限配置能力內(nèi)，根據(jù)用戶的業(yè)務(wù)需要，配置 其所需的最小權(quán)限。操作指南1、參考配置操作通過Chmod命令對目錄的權(quán)限進(jìn)行實(shí)際設(shè)置。2、補(bǔ)充操作說明etcpasswd 必須所有用戶都可讀，rootrw-r

10、 r /etc/ShadOW 只有 root 可讀r用戶可寫etcgroup須所有用戶都可讀，rootrw-r r 使用如下命令設(shè)置：Chmod 644 etcpasswdChmod 600 etcShadOWchmod 644 etcgroup用戶可寫如果是有寫權(quán)限，就需移去組及其它用戶對權(quán)限（特殊情況除外）執(zhí)行命令 #chmod -R go-w etcIetc的寫檢測方法1、判定條件1、設(shè)備系統(tǒng)能夠提供用戶權(quán)限的配置選項， 用戶進(jìn)行權(quán)限配置是否必須在用戶創(chuàng)建時進(jìn)行;2、記錄能夠配置的權(quán)限選項內(nèi)容；并記錄對3、所配置的權(quán)限規(guī)則應(yīng)能夠正確應(yīng)用，即用戶無法訪問授權(quán)范圍之外的系統(tǒng)資源，而可以訪問授

11、權(quán)范圍之內(nèi)的系統(tǒng)資源。2、檢測操作1、利用管理員賬號登錄系統(tǒng)，并創(chuàng)建2個不同的用戶；2、創(chuàng)建用戶時查看系統(tǒng)是否提供了用戶權(quán)限級別以及 可訪問系統(tǒng)資源和命令的選項；3、 為兩個用戶分別配置不同的權(quán)限，2個用戶的權(quán)限 差異應(yīng)能夠分別在用戶權(quán)限級別、可訪問系統(tǒng)資源以及可用命令等方面予以體現(xiàn)；4、分別利用2個新建的賬號訪問設(shè)備系統(tǒng)， 并分別嘗 試訪問允許訪問的內(nèi)容和不允許訪問的內(nèi)容，查看權(quán)限配置策略是否生效。3、補(bǔ)充說明編號：2要求內(nèi)容，當(dāng)在創(chuàng)建新文件或目錄時 應(yīng)屏蔽掉新文件或目錄不 應(yīng)有的訪問允許權(quán)限。防止同屬于該組的其它用戶及 別的組的用戶修改該用戶的文件或更高限制。操作指南1、參考配置操作設(shè)置默

12、認(rèn)權(quán)限：Vi /etc/在末尾增加 UmaSk 027 ,將缺省訪問權(quán)限設(shè)置為750修改文件或目錄的權(quán)限，操作舉例如下：#Chmod 444 dir ; # 修改目錄 dir的權(quán)限為所有人都 為只讀。根據(jù)實(shí)際情況設(shè)置權(quán)限；2、補(bǔ)充操作說明如果用戶需要使用一個不同于默認(rèn)全局系統(tǒng)設(shè)置的 UmaSk可以在需要的時候通過命令行設(shè)置，或者在用戶的shell啟動文件中配置。檢測方法1、判定條件權(quán)限設(shè)置符合實(shí)際需要；不應(yīng)有的訪問允許權(quán)限被屏 蔽掉；2、檢測操作查看新建的文件或目錄的權(quán)限，操作舉例如下：#lS -I dir ; #查看目錄dir的權(quán)限#Cat /etc/查看是否有 UmaSk 027內(nèi)容3、補(bǔ)

13、充說明UmaSk的默認(rèn)設(shè)置一般為022,這給新創(chuàng)建的文件默認(rèn)權(quán)限755( 777-022=755)，這會給文件所有者讀、寫 權(quán)限，但只給組成員和其他用戶讀權(quán)限。UmaSk的計算：UmaSk是使用八進(jìn)制數(shù)據(jù)代碼設(shè)置的，對于目錄，該 值等于八進(jìn)制數(shù)據(jù)代碼 777減去需要的默認(rèn)權(quán)限對應(yīng) 的八進(jìn)制數(shù)據(jù)代碼值；對于文件，該值等于八進(jìn)制數(shù)據(jù)代碼666減去需要的默認(rèn)權(quán)限對應(yīng)的八進(jìn)制數(shù)據(jù)代 碼值。編號：3要求內(nèi)容如果需要啟用FTP服務(wù)，當(dāng)通過FTP服務(wù)創(chuàng)建新文件 或目錄時應(yīng)屏蔽掉新文件或目錄不應(yīng)有的訪冋允許權(quán) 限。操作指南1、參考配置操作以VSftP為例打幵etcvsftpdChroot_list文件，將需要

14、限制的用戶名加入到文件中2、補(bǔ)充操作說明檢測方法1、判定條件權(quán)限設(shè)置符合實(shí)際需要；不應(yīng)有的訪問允許權(quán)限被屏 蔽掉；2、檢測操作查看新建的文件或目錄的權(quán)限，操作舉例如下：3、補(bǔ)充說明遠(yuǎn)程登錄編號：1要求內(nèi)容限制具備超級管理員權(quán)限的用戶遠(yuǎn)程登錄。遠(yuǎn)程執(zhí)行管理員權(quán)限操作，應(yīng)先以普通權(quán)限用戶遠(yuǎn)程登錄后，再切換到超級管理員權(quán)限賬號后執(zhí)行相應(yīng)操 作。操作指南1、參考配置操作編輯 etcpasswd， 帳號信息的 shell為sbi n/no Iog in的為禁止遠(yuǎn)程登錄，如要允許，則改成可以登錄的shell即可，如 /bin/bash2、補(bǔ)充操作說明如果限制 root從遠(yuǎn)程SSh登錄，修改/etc/ssh

15、/sshd_c onfig文件，將 PermitRootLoginyes改為 PermitRootLoginno ,重啟SShd服務(wù)。檢測方法1、判定條件root遠(yuǎn)程登錄不成功,提示“沒有權(quán)限”；普通用戶可以登錄成功,而且可以切換到root用戶；2、檢測操作root從遠(yuǎn)程使用telnet 登錄；普通用戶從遠(yuǎn)程使用tel net 登錄；root從遠(yuǎn)程使用SSh登錄；普通用戶從遠(yuǎn)程使用SSh登錄；3、補(bǔ)充說明限制 root從遠(yuǎn)程 SSh 登錄，修改/etc/ssh/sshd_c onfig文件，將 PermitRootLoginyes改為 PermitRootLoginno ,重啟SShd服務(wù)。編

16、號：2要求內(nèi)容對于使用IP協(xié)議進(jìn)行遠(yuǎn)程維護(hù)的設(shè)備， 設(shè)備應(yīng)配置使 用SSH等加密協(xié)議，并安全配置 SSHD勺設(shè)置。操作指南1、參考配置操作正?？梢酝ㄟ^#/etc/sshd Start來啟動SSH;通過 #/etc/sshd stop 來停止 SSH2、補(bǔ)充操作說明查看SSH服務(wù)狀態(tài)：# PS - efgrep SSh注：禁止使用telnet等明文傳輸協(xié)議進(jìn)行遠(yuǎn)程維護(hù)；如特別需要，需采用訪問控制策略對其進(jìn)行限制；檢測方法1、判定條件# PS - ef|grep SSh是否有SSh進(jìn)程存在是否有tel net進(jìn)程存在2、檢測操作查看SSH服務(wù)狀態(tài)：# PS - ef|grep SSh查看telne

17、t服務(wù)狀態(tài)：# PS - ef|grep telnet3、補(bǔ)充說明補(bǔ)丁安全編號：1要求內(nèi)容在保證業(yè)務(wù)網(wǎng)絡(luò)穩(wěn)定運(yùn)行的前提下，安裝最新的OS補(bǔ)丁。補(bǔ)丁在安裝前需要測試確疋。操作指南1、參考配置操作看版本疋否為最新版本。執(zhí)行下列命令，查看版本及大補(bǔ)丁號。#Uname - a2、補(bǔ)充操作說明檢測方法1、判定條件看版本疋否為最新版本。# Uname - a查看版本及大補(bǔ)丁號RedHat LinUX :SlaCkWare LinUXSUSE LinUX :TUrbOLinux :2、檢測操作在系統(tǒng)安裝時建議只安裝基本的OS部份，其余的軟件包則以必要為原則，非必需的包就不裝。3、補(bǔ)充說明日志安全要求編號：1

18、要求內(nèi)容啟用SySlog系統(tǒng)日志審計功能操作指南1、參考配置操作#Cat/etc/查看是否有 #authpriv.*varlogSeCUre2、補(bǔ)充操作說明將authpirv 設(shè)備的任何級別 的信息記錄到varlogSeCUre文件中，這主要是一些和認(rèn)證、權(quán)限使用相關(guān)的信息。檢測方法1、判定條件查看是否有 #authpriv.* varlogSeCUre2、檢測操作#Cat etc3、補(bǔ)充說明將authpirv 設(shè)備的任何級別 的信息記錄到varlogSeCUre文件中，這主要是一些和認(rèn)證、權(quán)限使用相關(guān)的信息。編號：2要求內(nèi)容系統(tǒng)日志文件由SySlog創(chuàng)立并且不可被其他用戶修 改；其它的系統(tǒng)日

19、志文件不是全局可寫操作指南1、參考配置操作查看如下等日志的訪問權(quán)限#1S -1查看下列日志文件權(quán)限varlogmessages、varlogSeCUre、varlogmaillog、varlogcro n、varlogspooler、varlog2、補(bǔ)充操作說明檢測方法1、判定條件2、檢測操作使用ls - l命令依次檢查系統(tǒng)日志的讀寫權(quán)限3、補(bǔ)充說明編號：3 （可選）要求內(nèi)容啟用記錄cron行為日志功能操作指南1、參考配置操作Vi etc# Log cron StUff cron *cron *檢測方法1、判定條件2、檢測操作cron *編號：4 （可選）要求內(nèi)容設(shè)備配置遠(yuǎn)程日志功能，將需要重

20、點(diǎn)關(guān)注的日志內(nèi)容 傳輸?shù)饺罩痉?wù)器。操作指南1、參考配置操作修改配置文件Vi /etc/ ，加上這一行：可以將"*.*"替換為你實(shí)際需要的日志信息。比如：kern.* ; mail.*等等。可以將此處2、補(bǔ)充操作說明檢測方法1、判定條件設(shè)備配置遠(yuǎn)程日志功能，將需要重點(diǎn)關(guān)注的日志內(nèi)容傳輸?shù)饺罩痉?wù)器。2、檢測操作查看日志服務(wù)器上的所收到的日志文件。3、補(bǔ)充說明不必要的服務(wù)、端口編號：1要求內(nèi)容關(guān)閉不必要的服務(wù)。操作指南1、參考配置操作查看所有幵啟的服務(wù)：#PS - ef#ChkC Onfig -list#Cat /etc/在中關(guān)閉不用的服務(wù)首先復(fù)制/etc/ 。 #CP /e

21、tc/etcx然后用Vi編輯器編輯文件，對于需要注釋掉的服務(wù)在相應(yīng)行幵頭標(biāo)記"#"字符，重啟Xinetd服務(wù),即可。2、補(bǔ)充操作說明參考附表，根據(jù)需要關(guān)閉不必要的服務(wù)檢測方法1、判定條件所需的服務(wù)都列出來；沒有不必要的服務(wù)；2、檢測操作#PS - ef#ChkC onfig -list#Cat /etc/3、補(bǔ)充說明在/etc/文件中禁止不必要的基本網(wǎng)絡(luò)服務(wù)。注意：改變了“/etc/ ”文件之后，需要重新啟動Xinetd。對必須提供的服務(wù)采用tcpwapper來保護(hù)系統(tǒng)Banner設(shè)置要求內(nèi)容修改系統(tǒng)banner,避免泄漏操作系統(tǒng)名稱，版本號，主機(jī)名稱等，并且給出登陸告警信

22、息操作指南1、參考配置操作在缺省情況下，當(dāng)你登錄到Iin UX系統(tǒng)，它會告訴你該 Iinux發(fā)行版的名稱、版本、內(nèi)核版本、服務(wù)器的名稱。應(yīng)該盡可能的隱藏系統(tǒng)信息。首先編輯“ /etc/ ”文件，在下面顯示的這些行前加一個“ #”，把輸出信息的命令注釋掉。# ThiS will OVerWrite /etc/issue at every boot.So, makeany Cha nges you Want to make to /etc/issue hereor youwill lose them Whe n you reboot.#echo "" > /etc/iss

23、ue#echo "$R" >> /etc/issue#echo "Ker nel $(Un ame -r) on $a $(Un ame -m)" >>/etc/issue#CP -f /etc/issue /etc/#echo >> etcissue其次刪除"/etc"目錄下的和issue文件：# mv etcissue /etc/檢測方法查看Cat /etc/ 注釋住處信息登錄超時時間設(shè)置要求內(nèi)容對于具備字符交互界面的設(shè)備，配置定時帳戶自動登 出操作指南1、參考配置操作通過修改賬戶中“ TMOU

24、T參數(shù)，可以實(shí)現(xiàn)此功能。TMoU按秒計算。編輯profile 文件 (Vi /etc/profile),在“ HlSTFlLESlZE=” 后面加入下面這行：建議TMOUT=30(可根據(jù)情況設(shè)定)2、補(bǔ)充操作說明改變這項設(shè)置后，必須先注銷用戶，再用該用戶登錄 才能激活這個功能檢測方法1、判定條件查看 TMOUT=300刪除潛在危險文件要求內(nèi)容.rhosts ，rc ,等文件都具有潛在的危險，如果沒有應(yīng) 用，應(yīng)該刪除操作指南1、參考配置操作執(zhí)行：find/-name rc ,檢杳系統(tǒng)中是否有rc文件， 執(zhí)行：find / -name .rhosts ,檢杳 系統(tǒng) 中是否 有.rhosts 文件如

25、無應(yīng)用，刪除以上文件：MV .rhost .MV r .2、補(bǔ)充操作說明注意系統(tǒng)版本，用相應(yīng)的方法執(zhí)行檢測方法1、判定條件2、檢測操作FTP設(shè)置編號1:要求內(nèi)容禁止root登陸FTP操作指南1、參考配置操作在ftpaccess文件中加入下列行 root檢測方法使用root帳號登錄ftp會被拒絕編號2:要求內(nèi)容禁止匿名ftp操作指南1、參考配置操作以VSftPd為例：打幵文件，修改下列行為：anonymous_en able=NO檢測方法匿名賬戶不能登錄編號3:要求內(nèi)容修改FTP banner信息操作指南1、參考配置操作使用VSftPd ,則修改下列文件的內(nèi)容：/etc/使用wu-ftpd ，則

26、需要修改文件etcftpaccess ，在其中添加：bann er /path/to/ftpba nner在指定目錄下創(chuàng)建包含ftp的banner信息的文件檢測方法1、判斷依據(jù)通過外部ftp客戶端登錄，banner按照預(yù)先設(shè)定的顯示2、檢杳操作附表：端口及服務(wù)服務(wù)名稱端口應(yīng)用說明關(guān)閉方法處置建議daytime13/tcpRFC867白天協(xié)議ChkCOnfig daytime off建議關(guān)閉13/udpRFC867白天協(xié)議ChkCOnfig daytime offtime37/tcp時間協(xié)議ChkCOnfig time off37/udp時間協(xié)議ChkC onfig time-udpoffech

27、o7/tcpRFC862_回聲協(xié)議ChkC onfig echo off7/udpRFC862_回聲協(xié)議ChkC onfig echo-udpoffdiscard9/tcpRFC863廢除協(xié)議ChkC onfig discard off9/udpChkC onfig discard-udp offCharge n19/tcpRFC864字符產(chǎn)生協(xié)議ChkC onfig Charge n off19/udpChkC onfig Charge n-udp offftp21/tcp文件傳輸協(xié)議ChkCOnfig gssftp off根據(jù)情（控制）況選擇幵放tel net23/tcp虛擬終端協(xié)議Chk

28、C onfig krb5-te Inet off根據(jù)情況選擇幵放Sen dmail25/tcp簡單郵件發(fā)送協(xié)議ChkC OnfigSen dmailoff建議關(guān)閉n ameserver53/udp域名服務(wù)ChkC onfig n amed off根據(jù)情況選擇幵放53/tcp域名服務(wù)ChkC onfig n amed off根據(jù)情況選擇幵放apache80/tcpHTTP萬維網(wǎng)發(fā)布服務(wù)ChkC onfig httpd off根據(jù)情況選擇幵放logi n513/tcp遠(yuǎn)稈登錄ChkC onfig log in off根據(jù)情況選擇幵放shell514/tcp遠(yuǎn)程命令，noPaSSWd USedChkC onfig shell off根據(jù)情況選擇幵放